E-Privacy Verordnung

Nachdem mit der DSGVO (Datenschutzgrundverordnung) das Datenschutzniveau europaweit harmonisiert wurde, soll nun der einheitliche Ausbau des Schutzes der Online-Privatsphäre durch die E-Privacy-Verordnung (ePVO) folgen. Es handelt sich um eine Art Spezialgesetz zur Erweiterung der DSGVO, um personenbezogene Daten in der elektronischen Kommunikation noch besser schützen zu können.

Eine end­gül­tige Fas­sung der Ver­ord­nung soll 2019 fer­tig­ge­stellt wer­den. Im Jahr 2020 kann sie dann frü­hes­tens in Kraft tre­ten und 2022 zur Anwen­dung kom­men. Durch Ver­hand­lun­gen der Ver­ord­nung mit der EU-Kommission und dem EU-Parlament sind jedoch Ver­zö­ge­run­gen mög­lich. Gemäß des der­zei­ti­gen Ent­wurfs liegt die Haupt­auf­gabe darin: "(…) das Ver­trauen in digi­tale Dienste und deren Sicher­heit zu erhö­hen".1 Um das zu errei­chen, wird die Ver­ord­nung die DSGVO gerade im Bereich der inter­net­ba­sier­ten Kom­mu­ni­ka­ti­ons­dienste (VOIP, Instant-Messaging, E-Mail) spe­zi­fi­zie­ren und beson­dere Aus­wir­kun­gen auf Website-Cookies haben. Hier erfahrt ihr, was sich in der Digi­tal­wirt­schaft durch die Ver­ord­nung ändern wird.

Hinweis: Bei allen Bezeichnungen, die auf Personen bezogen sind (wie z. B. Nutzer), meint die gewählte Formulierung beide Geschlechter, auch wenn hier aus Gründen der Erhaltung der im Gesetzestext verwendeten Begriffe, das generische Maskulinum Verwendung findet.

Nicht viel Neues bei den Anforderungen für die werbliche Ansprache

Die Rege­lun­gen zur werb­li­chen Anspra­che gel­ten für alle werb­li­chen Kon­takt­auf­nah­men von Unter­neh­men mit Ver­brau­chern durch elek­tro­ni­sche Kom­mu­ni­ka­ti­ons­mit­tel (Tele­fon, E-Mail, Mes­sen­ger­dienste). Hier ändert sich für deut­sche Unter­neh­men zunächst wenig. Das UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) deckt den Groß­teil der in Europa ver­ein­heit­lich­ten Gesetz­ge­bung schon jetzt ab. Ände­run­gen sind nur im Detail zu erwarten.

Was ist in Zukunft bei Cookies zu beachten?

Wirk­lich inter­es­sant wird die E-Privacy-Verordnung bei den Coo­kies. Die zu erwar­ten­den Ände­run­gen beinhal­ten nicht nur zusätz­li­che Auf­la­gen für Unter­neh­men, son­dern bie­ten auch die Chance eines noch siche­ren Inter­nets für die Nutzer*innen. So könnte sich die all­ge­meine Dis­kus­sion um Cookie-Banner dadurch erüb­ri­gen, dass eine Vor­ein­stel­lung der zu akzep­tie­ren­den Coo­kies bereits im Brow­ser vor­ge­nom­men wird. Kri­ti­scher zu betrach­ten ist die vor­ge­se­hene Regu­lie­rung von Coo­kies: Sei­ten­be­trei­ber dürf­ten mit Inkraft­tre­ten der Ver­ord­nung Coo­kies nur dann unge­fragt ver­wen­den, wenn diese für wich­tige Funk­tio­nen der Website not­wen­dig sind. Die aktu­elle Lösung, die Coo­kies mit Opt-out-Funktion zu deak­ti­vie­ren (über ein Ban­ner wird der­zeit auf die Datenschutzerklärung ver­wie­sen), wird dann unzu­läs­sig. Auf vie­len ame­ri­ka­ni­schen Sei­ten sind Cookie-Banner schon jetzt eta­bliert. Erst nach Aus­wahl der akzep­tier­ten Coo­kies ist der Zutritt zur Seite mög­lich. In Zukunft müss­ten Nut­zern dann auch bei uns – vor dem tat­säch­li­chen Besuch der Web­seite – eine Mög­lich­keit zum Wider­spruch gegen die Daten­ver­ar­bei­tung durch Coo­kies ange­zeigt wer­den. Es sei denn, im Brow­ser wäre dies schon durch die Grund­ein­stel­lung erledigt.

In den Arti­keln 8 Absatz 1 und Absatz 2 wird der Schutz der Daten von Nut­zern durch die End­nut­zer (das ver­ar­bei­tende Unter­neh­men) gere­gelt. Absatz 1 regelt hier, dass grund­sätz­lich keine Daten­er­he­bung durch "End­ein­rich­tun­gen" (wie Tele­fon und Fax) oder sons­tige Geräte, die dazu geeig­net sind Infor­ma­tion zu erhe­ben, zuläs­sig sind. Hier­bei ist auch noch ein­mal ein beson­de­res Augen­merk auf den Begriff "Infor­ma­tio­nen" zu rich­ten, da die­ser sich von den in der DSGVO genutz­ten "Daten" unter­schei­det. Unter Infor­ma­tio­nen wer­den vor­aus­sicht­lich jeg­li­che Infor­ma­tio­nen und nicht nur Daten mit Per­so­nen­be­zug (die durch die DSGVO geschützt wer­den) verstanden.

Hier­für lie­gen aktu­ell gemäß des Geset­zes­ent­wur­fes fol­gende Aus­nah­me­tat­be­stände vor:

a) Die Infor­ma­tion ist für den allei­ni­gen Zweck der Durch­füh­rung eines elektronischen
Kom­mu­ni­ka­ti­ons­vor­gangs über ein elek­tro­ni­sches Kom­mu­ni­ka­ti­ons­netz nötig
oder

b) der End­nut­zer hat seine Ein­wil­li­gung gege­ben oder

c) sie ist für die Bereit­stel­lung eines vom End­nut­zer gewünsch­ten Diens­tes der
Infor­ma­ti­ons­ge­sell­schaft nötig oder

d) sie ist für die Mes­sung des Web­pu­bli­kums nötig, sofern der Betrei­ber des vom
End­nut­zer gewünsch­ten Diens­tes der Infor­ma­ti­ons­ge­sell­schaft diese Messung
durchführt.

Also kein Webtracking mehr?

Abmil­dernd ist hier aber anzu­mer­ken, dass nur Coo­kies, die die Pri­vat­sphäre der Nutzer*innen betref­fen, nicht mehr auto­ma­tisch gesetzt wer­den dür­fen. Das Track­ing wird teil­weise unter diese Rege­lung fal­len. So ist ein rei­nes Aus­wer­ten von Besu­cher­zah­len der Website aktu­ell nicht als Ein­griff in die Pri­vat­sphäre zu wer­ten. Zudem fin­det eine Pri­vi­le­gie­rung des Trackings durch Dienste wie Google Ana­ly­tics oder Piwik PRO laut Art. 8 Abs. 1 lit. d des Ent­wur­fes statt, wenn diese auf eige­nen Web­ser­vern lau­fen. Um die Pri­vi­le­gie­rung hier noch ein­mal etwas zu ver­deut­li­chen: Das ver­brei­tete Ana­ly­se­tool Piwik PRO wird auf eige­nen Ser­vern betrie­ben. Dage­gen wird das Track­ing durch Ana­ly­tics mit Abschluss eines Ver­tra­ges zur Auf­trags­ver­ar­bei­tung – für den DSGVO kon­for­men Ein­satz von Google Ana­ly­tics not­wen­dig – nach aktu­el­lem Stand wie auf eige­nen Ser­vern betrie­ben behan­delt. Den­noch könnte eine grund­sätz­li­che Deak­ti­vie­rung die­ser Tracking-Cookies durch eine Brow­ser Vor­ein­stel­lung statt­fin­den, was die digi­tale Wer­be­wirt­schaft vor große Her­aus­for­de­run­gen stel­len wird. Diese betref­fen dann vor allem die Opti­mie­rung der Wer­be­ak­ti­vi­tä­ten und die so wich­tige Aus­wer­tung und Nach­voll­zieh­bar­keit von Nutzerinteraktionen.

Fazit

Die Ein­füh­rung der E-Privacy-Verordnung – zu wel­chem Zeit­punkt sie auch in Kraft tre­ten mag – wird eine beträcht­li­che Aus­wir­kung auf das Online-Marketing haben. Erst der finale Ent­wurf wird Klar­heit dar­über schaf­fen, wie die Ände­run­gen im Tracking-Bereich genau aus­se­hen. Die poten­zi­elle Besei­ti­gung von Cookie-Bannern würde aber eine will­kom­mene Ver­ein­fa­chung für Web­sei­ten­be­trei­ber und somit für die Nutz­bar­keit von Web­sites dar­stel­len. Wir hal­ten euch in die­sem Blog auf dem Lau­fen­den und eure Web­sites selbst­ver­ständ­lich recht­lich immer auf dem aktu­el­len Stand. Zudem ist auf allen bei uns gehos­te­ten Web­sites das inwendo Tool­kit instal­liert, wel­ches wir ste­tig um Funk­tio­nen erwei­tern, die den aktu­el­len recht­li­chen Anfor­de­run­gen entsprechen.

1 Gemäß des Entwurfes der E-Privacy Verordnung unter 1.1 Begründung. (https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52017PC0010)

Wenn ihr Fra­gen zu der Ver­ord­nung habt oder Unter­stüt­zung im Com­pli­ance und Daten­schutz­be­reich benö­tigt, schreibt uns eine Nachricht.

    Alle Fel­der sind Pflichtfelder.